Wie sicher sind BND und Verfassungsschutz? Top-Hacker im RT-Interview

Wie sicher sind BND und Verfassungsschutz? Top-Hacker im RT-Interview
In Folge der jüngsten WikiLeaks-Enthüllungen wird viel über das Werk von Hackern berichtet. RT Deutsch wollte wissen, wie solche Hacks überhaupt funktionieren und ob die Server deutscher Geheimdienste als sicher eingestuft werden können. Wir haben einen Fachmann auf diesem Gebiet zum Interview gebeten.

Im Rahmen unserer Recherchen hat sich RT Deutsch auf die Suche nach Top-Hackern in Deutschland begeben. Wir wurden fündig und haben unserer Quelle, die anonym bleiben möchte, drei Fragen gestellt.

In der dieswöchigen Ausgabe von „Der Fehlende Part“ wurden Teile der Antworten filmisch nachgestellt bereits ausgestrahlt. Wie angekündigt veröffentlichen wir im Folgenden das ungekürzte Interview als Text.

Ist jedes Netzwerk grundsätzlich hackbar?

Grundsätzlich ja. Das ist eine logische Schlussfolgerung aus der Erkenntnis, dass kein System, und Netze sind Systeme, zu 100 Prozent sicher ist. Dies ist wiederum eine Folge daraus, dass Systeme von Menschen gebaut werden und Menschen Fehler machen. Solange ein System groß genug ist, gibt es immer einen Weg hinein.

Aber: Ob ein Netz X von einer Partei Y gehackt werden kann und, falls ja, auch wirklich gehackt wird, kommt grundlegend auf drei Faktoren an:

1. Ist das Netz X so gut gesichert, dass die Umgehung der Sicherheitsmaßnahmen die technischen Fähigkeiten des Angreifers Y übersteigt?

2. Benötigt die Umgehung dieser Sicherheitsmaßnahmen so viele Ressourcen (Zeit und Geld), dass sich ein Angriff für Angreifer Y nicht lohnt? Beispiel: Angenommen, ein Ziel X hat Assets, die für einen Angreifer Y 200.000 Euro wert wären. Dann wäre es für den Angreifer Y nicht lohnenswert, anzugreifen, wenn sein gesamter Aufwand (Zeit und Geld) 250.000 Euro beträgt. Bei politischen oder militärischen Zielen ist die Bezifferung des finanziellen Wertes eines Ziels schwierig, sodass hier ein gewisses Zeit- und Geld-Budget vom Auftraggeber bzw. Befehlshaber vorgegeben wird.

3. Lohnt sich der Angriff in Bezug auf potentielle Gefährdung der langfristigen Operations Security (OpSec) des Angreifers Y oder gefährdet er damit langfristig seine Mission und/oder Assets? Beispiel: Die staatlichen Gruppen, allen voran aus USA, Russland und China, könnten zwar mit Zero-Day-Exploits für Cisco-Router massenhaft in kleine Landesparlamente eindringen, würden damit aber diese Exploits mit einer gewissen Wahrscheinlichkeit auf mittelfristige Sicht verbrennen, da sie bekannt werden. Somit könnten diese Exploits nicht mehr für High Profile Targets eingesetzt werden, was somit zukünftigen Missionserfolg gefährdet.

Die Faustregel lautet Faustregel: Will eine Firma dafür sorgen, dass ihr Netz nicht gehackt wird, muss sie dafür sorgen, dass:

a) die Umgehung ihrer technischen Sicherheitsmaßnahmen die technischen Fähigkeiten der Angreifer, mit denen die Firma auf Grund des Wertes ihrer Assets rechnen muss, übersteigt

b) sich für Angreifer, deren technische Fertigkeiten die Umgehung der technischen Sicherheitsmaßnahmen, der Angriff nicht lohnt, weil er schlichtweg zu teuer oder zu aufwändig wird.

Prinzipiell ist jedes Netz hackbar, aber längst nicht für jeden Angreifer. Es kommt nur darauf an, das Netz gegen solche Angreifer abzusichern, mit denen man realistisch rechnen muss und nicht gegen staatliche oder staatlich geförderte Gruppen bspw. aus USA, Russland oder China.

Wie einfach wäre es, den BND, Verfassungsschutz etc. von außen unerkennbar anzugreifen?

Pauschal ist so eine Frage nicht zu beantworten, da das, was für den einen schwer ist, für den anderen einfach ist. Ein absolutes Maß von "einfach" gibt es nicht. Auch ist die Frage zu unspezifisch: Was ist hier der Angriff? Unerkannt einen Fuß in die Tür bekommen (d.h. ein einziges System unter Kontrolle zu bringen), Vollzugriff auf alle Ressourcen im Netz, oder das Netz lahmlegen?

Bezugnehmend auf meine Antwort auf die erste Frage: Für einen Akteur, dessen Fähigkeiten ausreichend sind, die technischen Sicherheitsmaßnahmen von BND und Verfassungsschutz zu umgehen, würde ich aus eigener Erfahrung folgenden Aufwand schätzen: Ein Team aus drei Leuten, die jeweils zwei Jahre oder mehr Erfahrung in gezielten Angriffen haben, würden zwei bis drei Wochen für den Erstzugriff brauchen, d.h. ein oder mehrere (beliebige) Client- oder Server-System im Zielnetz persistent, permanent und ohne aufzufallen unter ihre Kontrolle zu bringen. Sie sind damit aber noch nicht notwendigerweise auf dem Zielsystem, auf welches das Angreiferteam eigentlich will.

Das sogenannte Lateral Movement, d.h. das Weiterbewegen auf die eigentlichen Zielsysteme innerhalb des Zielnetzes, muss bei solchen Operationen sehr leise und somit langsam geschehen. Es hängt aber natürlich auch von den Missionszielen und der internen Sicherheit des Netzes ab. Befindet sich das Missionsziel auf einem Dateiserver in einem flachen Netz, d.h. ein Netz ohne interne Netzsegmente, welche durch Firewalls voneinander abgeschottet sind, ist das Missionsziel einen Tag nach Erstzugriff erreicht. Wenn das interne Netz von BND/Verfassungsschutz interne Sicherheitsmaßnahmen wie Netzseparierung mit Firewalls in mehrere Netzsegmente hat, und das Ziel die Infektion einer größeren Zahl an PCs und Servern in dem Netz ist ohne aufzufallen, würde ich noch mal zwei bis drei Wochen schätzen.

Es kann mehr, aber auch weniger Zeit für Lateral Movement nötig sein: Manchmal hat man Glück und eine bestimmte Schwachstelle ist nicht gepatcht, weil sie entweder übersehen wurde oder erst gerade veröffentlicht wurde und somit noch kein Patch zur Verfügung steht. Oder ein System wurde falsch konfiguriert. Dann ist man nach ein bis zwei Tagen bereits fertig. Manchmal hat man aber auch Pech und es wurden keine Fehler bei der Absicherung gemacht, dann dauert es länger. Zwei bis drei Wochen für Erstzugriff auf Netze mit sehr hoher Sicherheit sowie zwei bis drei Wochen für Lateral Movement ist für ein Team aus zwei drei Leuten mit genügend Vollzeit-Erfahrung jedoch ein guter Mittelwert für die Abschätzung.

Im schlimmsten Fall kann durch menschliche Fehler oder durch Fehlverhalten ein Angriff auch für unerfahrene Angreifer in nur ein paar Tagen möglich sein, dies ist aber zumindest beim BND unwahrscheinlich, wenn auch nicht unmöglich.

Wie schaffen es Hacker, unerkannt zu bleiben?

Diese Frage kann man auf zwei Ebenen beantworten: Unerkannt zu bleiben auf Netzebene, was auch die Anonymität der Angreifer betrifft, und unerkannt zu bleiben auf den Systemen, die man bereits unter Kontrolle hat.

Unerkannt im Netz zu bleiben schafft man dadurch, möglichst selten und möglichst wenig zu kommunizieren, z.B. ein paar Kilobyte alle 24 Stunden. Die Kommunikation muss eingebettet sein in Protokolle, die (fast) immer nach Außen kommunizieren dürfen. Bei Angriffen ist für Command&Control-Verbindungen daher HTTP und HTTPS, also Web-Surf-Protokolle, sehr beliebt, weil aus dem internen Netz nach außen fast immer HTTP(S) erlaubt ist. Schließlich müssen die Mitarbeiter ja im Internet surfen können, um zu recherchieren.

Die Anonymität der Verbindungen wahrt man, indem man möglichst viele Zwischenstationen, genannt Proxy-Server, einsetzt.

Auf den gekaperten Systemen selbst schützt man sich, indem man so viel wie möglich "in memory" arbeitet, d.h. so wenig wie möglich die Festplatte anrührt. Antivirensysteme sind gegenüber Angriffen, die ausschließlich im Arbeitsspeicher stattfinden, machtlos und erkennen diese nicht. Allerdings muss man für Persistenz, d.h. um Neustarts zu überdauern, zumindest auf einigen Systemen die Festplatten anrühren. Hier setzt man dann auf selbstentwickelte Minimal-Trojaner: Selbstentwickelt deswegen, damit die signaturbasierten Erkennungsverfahren der Antivirensoftware fehlschlagen. Minimal deswegen, damit die verhaltensbasierte Heuristik der Antivirensoftware fehlschlägt. Wenn man keine bösartige Funktionalität in diesem Mini-Trojaner hat, sondern dieser die bösartige Funktionalität nach einem Systemneustart nur dynamisch in memory nachlädt, erkennt verhaltensbasierte Heuristik solch einen Mini-Trojaner nicht.

Alternativ kann man auch permanent in memory agieren auf Systemen, die (fast) nie neugestartet werden, wie z.B. interne Webserver, Dateiserver oder Domänenserver. Da diese fast nie neugestartet werden, braucht man hier für Persistenz die Festplatte nicht anrühren.

Vielen Dank für das Interview.